此页面由 Cloud Translation API 翻译。

激活 Security Command Center Enterprise 层级

Security Command Center Enterprise 层级提供安全增强功能，例如高级安全运维、与其他 Google Cloud 产品（例如 Sensitive Data Protection 和 Assured OSS）的集成、多云支持和风险分析。如需了解 Enterprise 层级功能，请参阅 Security Command Center 概览。

您可以使用 Google Cloud 控制台中的设置指南完成企业版层级的激活过程。在完成初始的强制性任务后，您可以完成其他任务，以设置组织所需的可选功能。

如需了解价格和获取订阅，请参阅 Security Command Center 价格。

如需了解如何在其他层级激活 Security Command Center，请参阅为组织激活 Security Command Center 标准层级或高级层级。

准备工作

请先完成这些任务，然后再完成此页面上的其余任务。

创建组织

Security Command Center 需要与网域关联的组织资源。如果您尚未创建组织，请参阅创建和管理组织。

设置权限

本部分列出了设置 Security Command Center 所需的 Identity and Access Management 角色，并介绍了如何授予这些角色。

确保您拥有组织的以下一个或多个角色： Organization Admin, Cloud Asset Owner, Security Center Admin, Security Admin.
检查角色
1. 在 Google Cloud 控制台中，前往 IAM 页面。
  转到 IAM
2. 选择组织。
3. 在主账号列中，找到您的电子邮件地址所在的行。
  
  如果您的电子邮件地址不在此列，则表示您没有任何角色。
4. 在您的电子邮件地址所在的行对应的角色列中，检查角色列表是否包含所需的角色。
授予角色
1. 在 Google Cloud 控制台中，前往 IAM 页面。
  转到 IAM
2. 选择组织。
3. 点击 授予访问权限。
4. 在新的主账号字段中，输入您的电子邮件地址。
5. 在选择角色列表中，选择一个角色。
6. 如需授予其他角色，请点击 添加其他角色，然后添加其他各个角色。
7. 点击 Save（保存）。

详细了解 Security Command Center 角色。

验证组织政策

如果您的组织政策设置为按网域限制身份，请考虑以下事项：

登录 Google Cloud 控制台时，您必须使用允许的网域中的账号。
您的服务帐号必须位于允许的网域中，或是您网域中某个群组的成员。此要求允许您在启用网域限定共享后，允许使用 @*.gserviceaccount.com 服务帐号的服务访问资源。

如果您的组织政策设置为限制资源使用，请验证是否允许使用以下 API：

chronicle.googleapis.com
securitycenter.googleapis.com
securitycentermanagement.googleapis.com

创建管理项目

Security Command Center Enterprise 需要一个项目（称为管理项目）来启用其安全运维和 Mandiant 集成。

如果您之前启用了 Google SecOps，则可以使用现有的管理项目。否则，请新建一个。验证项目的角色和 API。

In the Google Cloud console, go to the project selector page.

Go to project selector
Select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

启用 Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender API。
启用 API

确保您拥有项目的以下一个或多个角色： Service Usage Admin, Service Account Token Creator, Chronicle API Admin, Chronicle Service Admin, Chronicle SOAR Admin, Service Account Key Admin, and Service Account Admin.
检查角色
1. 在 Google Cloud 控制台中，前往 IAM 页面。
  转到 IAM
2. 选择项目。
3. 在主账号列中，找到您的电子邮件地址所在的行。
  
  如果您的电子邮件地址不在此列，则表示您没有任何角色。
4. 在您的电子邮件地址所在的行对应的角色列中，检查角色列表是否包含所需的角色。
授予角色
1. 在 Google Cloud 控制台中，前往 IAM 页面。
  转到 IAM
2. 选择项目。
3. 点击 授予访问权限。
4. 在新的主账号字段中，输入您的电子邮件地址。
5. 在选择角色列表中，选择一个角色。
6. 如需授予其他角色，请点击 添加其他角色，然后添加其他各个角色。
7. 点击 Save（保存）。

获取您的 Google Security Operations 访问代码

如果您已有 Google SecOps 实例，则可以在激活期间使用访问代码将 Security Command Center Enterprise 层级连接到该实例。请与 Google Cloud 销售人员联系，获取您的访问代码。

配置通知联系人

配置重要联系人，以便安全管理员可以接收重要通知。有关说明，请参阅管理通知联系人。

首次激活 Security Command Center Enterprise 层级

在 Google Cloud 控制台中，转到 Security Command Center 风险概览页面。

进入 Security Command Center
确认您正在查看要启用 Security Command Center Enterprise 层级的组织。
在 Security Command Center Enterprise 使用入门页面中，点击激活 Enterprise。此选项会自动为 Security Command Center Enterprise 层级包含的所有服务（包括 Google Security Operations 和 Mandiant）创建服务帐号和角色。如需查看这些选项，请点击查看服务帐号和权限。

如果您没有看到 Security Command Center Enterprise 使用入门页面，请与 Google Cloud 销售人员联系，以验证您的订阅权限是否有效。
选择管理项目，然后点击下一步。
点击启用 API，然后点击下一步。
完成下列操作之一：
- 如果您已启用 Google SecOps 实例，请选择是，连接到现有 Chronicle 实例并粘贴访问代码。
- 如果您没有 Google SecOps，请选择不，为我创建一个新的 Chronicle 实例。输入您的联系信息和公司信息，然后选择要启用 Google SecOps 的区域。此区域仅用于 Google SecOps，而不用于其他 Security Command Center 功能。
点击 Activate（激活）。您将返回到风险概览页面，并显示预配状态。您的安全运维功能可能需要一段时间才能准备就绪，发现结果可供使用。

您可以使用 Google Cloud 控制台中的设置指南来配置其他功能。

配置其他 Security Command Center 功能

Google Cloud 控制台中的设置指南包括六个步骤和其他配置建议。激活 Security Command Center 时，需要完成前两个步骤。您可以根据组织的要求，逐步完成剩下的步骤和建议。

在 Google Cloud 控制台中，转到 Security Command Center 风险概览页面。

转到“概览”页面
依次转到 设置 > 层级详情。
验证您是否正在查看已激活 Security Command Center Enterprise 层级的组织。
点击查看设置指南。
如果您还使用 Amazon Web Services (AWS)，并且想要将 Security Command Center 连接到 AWS 以进行漏洞和风险评估，请点击第 3 步：设置 Amazon Web Services (AWS) 集成。有关说明，请参阅连接到 AWS 以进行漏洞检测和风险评估。
如需添加用户和群组以执行安全操作，请点击第 4 步：设置用户和群组。有关说明，请参阅使用 IAM 控制对 SecOps 功能的访问权限。
如需配置安全编排、自动化和响应 (SOAR)，请点击第 5 步：配置集成。您的用例可能已安装，具体取决于您的 Google Security Operations 实例的设置。如果尚未安装，请与您的客户代表或 Google Cloud 销售人员联系。如需与票务系统集成，请参阅将 Security Command Center Enterprise 与票务系统集成。
如需将数据注入配置到安全信息和事件管理 (SIEM) 中，请点击第 6 步：配置日志注入。如需启用精选检测和云基础架构授权管理（预览版）等功能，必须配置数据注入。如需查看相关说明，请参阅连接到 AWS 以进行日志提取。
如需监控 Google Cloud 组织中的敏感数据，请点击设置敏感数据保护。无论您的服务层级如何，敏感数据发现服务都将与 Security Command Center 分开计费。如果您没有为发现购买订阅，则需要根据使用量（扫描的字节数）向您收费。如需了解详情，请参阅 Sensitive Data Protection 文档中的发现价格。有关说明，请参阅启用敏感数据发现。
如需提高代码安全性，请点击 Set up code security（设置代码安全性）。如需查看相关说明，请参阅与 Assured OSS 集成以确保代码安全性。

后续步骤

了解如何处理 Security Command Center 发现结果。
了解 Google Cloud 安全来源。
使用 Google Security Operations 精选检测功能来调查威胁。